供应链安威胁的识别、风险评价及控制措施策划

供应链安全威胁的识别、风险评价和控制措施策划初探摘 要：提出供应链安全威胁的识别和风险评价的流程、范围和方法，根据所确定风险等级， 策划供应链安全风险的控制措施， 控制和减轻供应链安全风险的后果。关键词：供应链安全威胁 识别 评价 控制措施 策划组织需要对其运作的供应链安全从物流、信息流、资金流及商业流通等环节进行识别和 评价，并确定是否已经采取了最基本的安全措施、是否遵守了法律法规和其它要求及潜在的 风险。本文根据供应链安全管理体系规范(IS028000:2007 , IDT),参考供应链安全 风险识别及评价指导(IS0/PAS28000)及供应链风险管理指南(GB/T24420-2009)等标准 中风险的识别、评价方法，提出供应链安全风险识别、评价方法，为组织建立一套供应链安 全管理体系提供风险识别及评价的思路，供建立供应链安全管理体系的组织和人员参考。一、供应链及供应链安全的定义 供应链：生产及流通过程中，涉及讲产品提供到最终用户所形成的网络结构。可包括供应商、 制造商、物流、内部配送中心、分销商、批发商以及联系最终用户的其他实体。 供应链安全：阻止了有意、未经授权而对供应链直接或间接造成损害和破坏行为的状态。二、供应链安全威胁的识别与风险评价流程(一) 供应链关系：供应商*-*生产商-*分销商-*零售商*-*终端用户物流、信息流、资金流、商流(二) 识别与评价流程确定供应链安全威胁和风险识别、评价范围*成立识别、评价工作组*确定业务活 动范围*识别安全威胁 * 分析和评价风险*确定风险等级*编制威胁和风险清 单，确定优先控制秩序* 策划控制措施。三、供应链安全威胁的识别（一）供应链安全威胁的识别范围：应包括组织供应链安全相关的所有过程 ，识别与各项活动有关的所有安全威胁，考虑 显在的风险和潜在的风险 ；供应链安全相关的活动可包括（但不限于）：办公和工作场所、 设施维修现场、人员和工作资质、资金管理、信息管理、商务活动等。例如：在物流方面的 考虑主要针对组织中的：运输、制造、包装设施、储存、搬运装卸和配送等全过程的相关因 素；在信息流方面主要针对组织中：信息管理的全过程的相关因素；在资金流方面考虑主要 针对组织中金融等全过程的相关因素；商业流通过程包含接受订货、签订合同、网络销售、 邮政销售等。识别应适时更新。（二）供应链安全威胁的识别应考虑按 ISO28000 标准第 4.3.1 条款的基本要求，供应链安全风险识别至少应考虑：1. 客观所引起失效的威胁 ；2. 各相关环节操作所引起的威胁 ；3. 自然环境事件（风暴、洪水、泥石流、地震等）致使安全措施和设备失效；4. 超出组织控制的因素，如外部供应的设备和服务失效；5. 相关方的威胁和风险；6. 安全设备的设计和安装包括更新、维护保养的影响等；7. 信息、数据管理和沟通影响；8. 对运行持续性或顺畅性构成某种威胁等方面。（三）源于组织内部的供应链威胁可能有（但不限于）1. 源于调度的组织与采购风险。2. 源于信息不确定，或因供应链各环节之间利益原因引起的信息阻塞等。3. 源于物流技术、手段及方法不成熟的风险。4. 源于分销商的选择或经营不确定性产生的风险。5. 源于人力资源、内部制度缺陷的风险等。6. 源于组织内的设备的购置和安装包括更新、维护保养中的风险等；（四）源于组织外部的供应链威胁可能有（但不限于）1. 源于政策、法律要求变化的风险。2. 源于供应商因事故、罢工等影响产生的风险3. 源于自然灾害、意外灾祸风险。4. 源于社会冲突、恐怖事件、社会动荡、语言、习俗等的风险。5. 源于信息共享可能产生的商业机密泄露的风险。6. 源于市场的不确定性、社会环境、金融、地理、政治和道德等超出组织控制的风险等（五）供应链安全威胁的识别方法简述在供应链安全风险识别及评价指导（IS0/PAS28000）的第2章列出了供应商安全程 序的所有细节要求。如供应链运输安全要求， 在委托方的资产或货物从一个操作到另一个 的不同位点（可以说是从卡车到仓库，仓库到卡车，卡车到航线处理机，航线处理机到飞行 器等）将全部视为风险区域。运输组织应确保有关的操作程序详细并与相关方进行了必要沟 通，其要求的内容为运输组织的最低安全要求，相关内容至少包括：物理安全、安全系统、 安全程序、人员安全、培训、附加的安全要求、选择的承运商或其他组织的管理等。IS0/PAS28000的第2章还包括了制造安全要求、包装安全要求、储存安全要求、配送 安全要求、信息安全要求、资金安全要求、商业流通安全要求等。组织可以在IS0/PAS28000最低要求的基础上，提出自身更高的安全要求。对照IS0/PAS28000第2章列出的与组织供应链有关的最低安全要求或组织修订的安全要求， 对供应链所有的活动进行逐项检查、比对、评价，确定是否满足要求，参考表 1。表1供应链运输安全要求检査表（部分）（参考ISO/PAS28000供应链运输安全要求/=要求/皿=要求并强制通过检査验收1 物理安全11 卡车安全1.1.1带锁的卡车车门设施。1.1.2燃料盖锁完好保证。12 拖车安全1.2.1 硬侧/硬门拖车。1.2.2使用结实和完整的货物防护布，并捆有绳索和紧固装置。1.2.3使用高安全度挂锁。所涉 及的 场所分类 管理 等级检查结果符 合不符合待宀 兀 善现有控制措施现场现场现场现场表 1 供应链运输安全要求检查表填写说明：厶要求/ M=要求并强制通过检查1）“强制要求”：根据风险和威胁的控制程度，若违反下列情况时 是属于本行业法律法规和其他要求所需遵循的； 与货物委托方签署的合同条款必须的要求，对下游组织可能造成严重影响的； 若违反则可能造成货物重大损失或资金发生较大损失， 如经济损失在一定数额以上（组织自定） 可能造成信息发生重大失密的； 可能造成不良社会影响的，如剧毒品、危险化学品运输中可能发生的事件 其余情况为“非强制要求”内容要求。2）在风险识别和评价自查自评结果的规定，是内部检查小组在企业建立供应链安全管理体系时，检查组织现有的活动实际达到的情况来判定，在相应栏处可以用或简单的文字表达即可。3）通过检查发现的“不符合及待完善”的事项，责任部门应进行整改，整改后经验证评价达到“符合”，方可对四、分析和评价供应链的安全风险，确定风险等级（一）风险分析要考虑供应链风险的原因和风险源、风险发生的可能性及影响 后果。如表2 供应链风险后果和影响评价示例、表 3 供应链风险的可能性评价示例。表 2 供应链风险的后果和影响评价 示例等级风险的影响或后果风险高低的表现形式风险高低对所评价事项的 计划进度影响风险高低对所评价事 项的经济损失影响1极低极小或没有影响极小或没有影响极小或没有影响2低可接受但会降低正面绩 效表现（如盈利等）需要更多资源，但能按时 完成计划C5%3中可接受但会大大降低正 面绩效表现（如盈利等）关键计划目标的轻微延误，不能按时完成计划5%WC7%4高可接受但导致无正面绩 效表现关键计划目标的较大延误，或 关键实施路径收到影响7%WC10%5极高不可接受不能实现主要项目的关键 计划指标C 三 10%注：（1）企业也可以自己界定损失的高低比例（2）“表现、计划进度、损失”三者，对于评价的事项而言可以表现为1 项或同时2 项 或同时3 项，选择其中的最高等级未评价结果（3）风险高低对所评价事项的经济损失影响：分母为：卡车安全（带锁的卡车车门设施 完好、燃料盖锁完好保证）在运输环节中无损失，运输货物的总价值；分子为：卡车缺乏安 全性可能造成的货物损失表 3 供应链风险的可能性评价 示例等级风险事件发生的可能性1不可能2不太可能（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生， 如每年发生，且公司的控制措施效果不佳）3可能（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生， 如每月发生，且公司的控制措施效果不佳）4非常可能（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生， 如每周发生，且公司的控制措施效果不佳）5确定（考虑公司实际情况，以及社会上和其它组织的经验，该风险频繁发生，如每周内可能发生2次及以上，且公司的控制措施效果不佳）（二）对检查表（表1）中的所有活动有关的事项，按照表 2、表3评价其影响 后果及可能性，填入表 1的“风险评价栏”（三）根据 3.2的结果，按照表 4进行风险等级分类表 4 风险等级分类表采取安全措施可能性分类1不可能2不太可能3可能4非常可能5确定后极低可忽略风险可忽略风险可忽略风险可忽略风险可容许风险果低可忽略风险可忽略风险可忽略风险可容许风险中度风险分中可忽略风险可忽略风险可容许风险中度风险重大风险类高可忽略风险可容许风险中度风险重大风险不可容许风险极高可容许风险中度风险重大风险不可容许风险不可容许风险（四）编制供应链安全风险清单编制供应链安全风险清单的目的 ：综合考虑风险产生的原因、风险等级、影响 或危害、风险位置或部门，从而策划控制措施需求以及措施后期望。依次列入不 可容许风险、重大风险、中度风险，给出风险控制的优先顺序。供应链安全风险 描述示例如表 5。表 5 供应链安全风险清单 示例编 号安全威 胁的描 述风险 等级威胁 所在 位置 或部 门威胁产生 原因影响或危害责 任 部 门措施需求（现有的、 需要补充 的）措施后期望备注风险等级时限1危险化 学品运 输途中 的泄漏、 火灾等 引起环 境污染 与赔偿重大 风险运输 部、运输 途中包装容器 故障或损 坏、夏季 环境度过 咼、路面 颠簸、交 通事故如 撞车等污染环 境、影响 附近居民 生活 影响附近 车辆正常 行进等运输部人员和车 辆的资质 管理、GPS 线路及定 位监控、制 定预案、车 辆配置应 急设施及中度 风险1个月（五）供应链安全风险的更新 遇到以下情况，组织应更新或补充威胁的识别及风险评估1. 增加了大量新的业务或高风险业务；2. 业务过程、区域、物理和网络环境发生了重大的变化；3. 发生了重大货物、资金等损失；4. 政策及法规变化5. 风险控制措施完成后等五、供应链安全风险控制措施的策划（一） 控制措施策划的原则1. 可忽略：不需采取措施且不必保留文件记录2. 可允许风险 ：不需另外的控制措施，可考虑不增加额外成本的改进措施，需 要监视来确保控制措施的维持。3. 中度风险：应降低风险，在规定时间期限内实施降低风险措施。在中度风险与 严重伤害后果相关的场合，应进一步评价，以更准确地确定伤害的可能性，以确 定是否需要改进措施4. 重大风险：直至风险降低后才能开始工作。当风险涉及正在进行中的工作时， 就应建立应急措施5. 不可允许风险： 只有当风险已降低时，才能开始或继续工作。如果无限的资 源投入也不能降低风险，就禁止该项活动(二)选择风险控制措施时应考虑下列因素1. 风险降低：对于重大风险采用适当的控制措施，按要求降至中度风险；对于中 度风险尽量采取措施将至更低风险；如果暂时不能采取措施降低风险程度的，制 定控制计划， 在一定时限内降至低风险；2. 风险接受：对于可忽略风险、可容许风险，在明显满足组织方针策略和不违反相关法律法规和合同要求的情况下，接受风险；3. 风险避免：积极采取措施规避风险造成影响；4. 风险转移：采取适当手段将相关业务风险转移到其他方，如：保险，供应商等。注：本文只是供应链安全威胁识别与风险评价的粗浅方法之一，仅供参考； 在供应链的信息流风险识别、评价中，也可以参考 ISO27000 信息安全管理体系 的方法 。参考文献：1 供应链安全管理体系 规范(ISO28OOO:2OO7 , IDT)2 供应链安全风险识别及评价指导 (ISO/PAS28000)3 供应链风险管理指南 (GB/T24420-2009)